通过连接到vcenter server的vsphere web客户端完成添加和删除vcenter identity来源,或设置默认身份来源。sso可以将多个域附加到身份源,具体取决于一组作为默认域。
有关组和用户的所有数据都存储在sso数据库本地,或者通过microsoft active directory(ad)/ open ldap系统检索和搜索(如果已配置)。
注意:任何给定时间只有一个默认域。您不能同时拥有两个默认域。
将身份提供者视为管理身份来源并验证用户身份的服务。身份提供者的示例包括microsoft ad联合身份验证服务(adfs)或vcenter sso。
vcenter server 7支持哪些类型的身份源?^
- ldap上的microsoft ad- sso支持ldap身份源上的多个ad
- ldaps上的ad-使用ssl到ldap的安全连接(ldap安全)
- microsoft iwa(集成windows身份验证) –允许您将单个ad指定为身份源。该选项允许用户使用您的ad帐户登录vcenter server。
- open ldap- vcenter sso支持open ldap 2.4及更高版本;支持多个open ldap身份源。
通过管理部分> sso配置中的选项可以使用不同的选项。本节提供了不同的身份提供程序选项。
如何通过vsphere client设置默认身份源^
使用默认的administrator@vsphere.local登录名和密码连接到vcenter server 。这是您在安装过程中创建的默认设置。(注意:如果在安装过程中创建了其他域,请通过administrator @ yourdomain连接。)
转到“凯发k8国际真人主页”>“管理”>“单点登录”>“配置”>“身份提供程序”选项卡。
如何设置默认身份源
当您单击按钮时,将打开一个覆盖窗口,询问您是否要继续。
设置默认身份来源验证
您具有有关域,别名,类型,服务器url或名称的详细信息。通过单选按钮选择连接之一后,您可以编辑,设置为默认设置或删除连接。
在“身份提供程序”选项卡之外,还有一个“本地帐户”选项卡,您可以在其中指定和更改密码策略或帐户锁定策略。这些策略仅适用于本地sso帐户。
microsoft ad安全性更改在不久的将来会如何?
许多管理员使用“集成windows身份验证”选项,因为这是与现有microsoft ad环境集成的最简单方法。但是,microsoft计划更改ad的默认行为,以要求强身份验证和加密。
更改后,集成windows身份验证将无法正常工作。您将无法搜索sso的用户和组,并且还有其他一些不兼容之处。
尽管集成windows身份验证目前可以使用,但microsoft计划进一步保护ad。这将影响vmware配置,因为将强烈要求使用强身份验证和加密。如果您使用的是未加密的ldap(ldap://,而不是ldaps://),则需要进行一些更改。您需要计划和启用ldaps或使用身份联合。
vmware在此处发送消息-vsphere 7中不推荐使用集成windows身份验证(iwa)。仍支持但不推荐使用。ldaps上的microsoft ad和identity federation是将vsphere连接到active directory的两个主要建议。
请注意,如果您已将vcenter server添加到microsoft ad域, 则不 受此即将发生的更改的影响。仅在使用ldap而不将vcenter server添加到ad时受影响。
如您所见,我们已经将vcenter server加入了microsoft ad,所以应该没问题。
我们的vcenter server已加入ad 1
如何从ldap迁移到ldaps?
如果由于某种原因您在未加入ad的vcenter server系统上运行,则从ldap迁移到ldaps时需要在dc上进行补充配置和设置,因为您将需要安装企业ca并处理证书。
使用脚本管理身份验证服务
vcenter server appliance(vcsa)具有一个称为sso-config的内置命令,用于管理配置服务。您可以通过运行sso-config -help来查看不同的选项。
还有另一个service-control,它允许您启动,停止和列出服务。使用service-control –list-services显示所有服务及其状态。
使用service-control –help可获得更多详细信息。
未经允许不得转载:凯发k8国际真人 » 如何设置vcenter 7身份源
